O que é uma ameaça persistente avançada e como um APT pode ser detectado?
Muitas empresas fazem o possível para coletar o máximo de dados possível sobre os clientes. Alguns até oferecem seus produtos gratuitamente em troca da permissão para coletar informações pessoais.
Como resultado, até mesmo empresas menores agora têm uma grande quantidade de dados valiosos. E mais e mais atores de ameaças estão procurando maneiras de roubá-los. Um exemplo disso é um tipo de ataque cibernético conhecido como ameaça persistente avançada.
Então, o que é uma ameaça persistente avançada? Como você identifica um? E o que você deve fazer se achar que seu sistema foi atingido por um APT?
O que é uma ameaça persistente avançada (APT)?
Uma ameaça persistente avançada é um tipo de ataque por meio do qual um invasor obtém acesso a um sistema e consegue permanecer lá sem ser detectado por um longo período de tempo.
Este tipo de ataque é geralmente realizado com o objetivo de espionagem. Se o objetivo fosse simplesmente danificar um sistema, não haveria razão para ficar por aqui. As pessoas que realizam esses ataques não estão tentando destruir sistemas de computador. Eles simplesmente desejam acessar os dados que possuem.
A maioria das ameaças persistentes avançadas usa técnicas de hacking sofisticadas e são personalizadas para sistemas de computador individuais.
Isso torna esses ataques muito difíceis de detectar. Mas um benefício de sua complexidade é que o usuário médio de computador geralmente não precisa se preocupar com eles.
Ao contrário do malware, que geralmente é projetado para atingir o maior número possível de computadores, as ameaças persistentes avançadas são normalmente projetadas com um alvo específico em mente.
Como um APT acontece?
A ameaça persistente avançada é um termo relativamente amplo. O nível de sofisticação empregado em tal ataque, portanto, varia amplamente.
A maioria, entretanto, pode ser facilmente dividida em três estágios distintos.
Etapa 1: infiltração
No estágio inicial, os hackers estão simplesmente procurando uma maneira de entrar. As opções disponíveis para eles dependerão obviamente de quão seguro é o sistema.
Uma opção seria o phishing. Talvez eles consigam alguém revelar acidentalmente suas credenciais de login, enviando-lhes um e-mail malicioso. Ou, se isso não for possível, eles podem tentar alcançar o mesmo por meio da engenharia social .
Estágio 2: Expansão
O próximo passo é a expansão. Assim que os invasores tiverem uma entrada válida no sistema, eles desejarão expandir seu alcance e, provavelmente, certificar-se de que o acesso existente não pode ser revogado.
Eles geralmente fazem isso com algum tipo de malware. Um keylogger, por exemplo, permitirá que eles coletem senhas adicionais para outros servidores.
E um cavalo de Tróia backdoor garantirá intrusões futuras, mesmo se a senha original roubada for alterada.
Etapa 3: Extração
Durante a terceira fase, é hora de realmente roubar os dados. As informações normalmente são coletadas de vários servidores e, em seguida, depositadas em um único local até que esteja pronto para recuperação.
Nesse ponto, os invasores podem tentar sobrecarregar a segurança do sistema com algo como um ataque DDOS . No final desta fase, os dados são realmente roubados e, se não forem detectados, a porta fica aberta para ataques futuros.
Sinais de alerta de um APT
Embora um APT seja normalmente projetado especificamente para evitar a detecção, isso nem sempre é possível. Na maioria das vezes, haverá pelo menos alguma evidência de que tal ataque está ocorrendo.
Spear Phishing
Um e-mail de spear phishing pode ser um sinal de que um APT está prestes a acontecer ou está nos estágios iniciais. Os e-mails de phishing são projetados para roubar dados de grandes quantidades de pessoas indiscriminadamente. Os e-mails de spear phishing são versões personalizadas, feitas para pessoas e / ou empresas específicas.
Logins suspeitos
Durante um APT em andamento, é provável que o invasor se conecte ao seu sistema regularmente. Se um usuário legítimo entrar repentinamente em sua conta em horários estranhos, isso pode ser um sinal de que suas credenciais foram roubadas. Outros sinais incluem o login com maior frequência e olhar para coisas que não deveriam.
Trojans
Um Trojan é um aplicativo oculto que, uma vez instalado, pode fornecer acesso remoto ao seu sistema. Esses aplicativos têm o potencial de ser uma ameaça ainda maior do que credenciais roubadas. Isso ocorre porque eles não deixam pegadas, ou seja, não há histórico de login para você verificar e não são afetados por alterações de senha.
Transferências de dados incomuns
O maior sinal da ocorrência de um APT é simplesmente que os dados estão sendo movidos repentinamente, aparentemente sem motivo aparente. A mesma lógica se aplica se você vir os dados sendo armazenados onde não deveriam estar, ou pior, realmente no processo de transferência para um servidor externo fora de seu controle.
O que fazer se você suspeitar de um APT
Assim que um APT for detectado, é importante agir rápido. Quanto mais tempo um invasor tem em seu sistema, maiores são os danos que podem ocorrer. É até possível que seus dados ainda não tenham sido roubados, mas, pelo contrário, está prestes a ser. Aqui está o que você precisa fazer.
- Pare o Ataque: As etapas para parar um APT dependem muito de sua natureza. Se você acredita que apenas um segmento do seu sistema foi comprometido, você deve começar isolando-o de todo o resto. Depois disso, trabalhe para remover o acesso. Isso pode significar revogar credenciais roubadas ou, no caso de um cavalo de Tróia, limpar seu sistema.
- Avalie o dano: a próxima etapa é descobrir o que aconteceu. Se você não entende como o APT ocorreu, não há nada que o impeça de acontecer novamente. Também é possível que uma ameaça semelhante esteja em andamento. Isso significa analisar logs de eventos de sistemas ou simplesmente descobrir a rota que um invasor usou para obter acesso.
- Notifique terceiros: Dependendo de quais dados estão armazenados em seu sistema, os danos causados por um APT podem ser de longo alcance. Se você estiver armazenando dados que não pertencem apenas a você, ou seja, os detalhes pessoais de clientes, clientes ou funcionários, você pode precisar informar essas pessoas. Na maioria dos casos, deixar de fazer isso pode se tornar um problema jurídico.
Conheça os sinais de um APT
É importante entender que não existe proteção completa. O erro humano pode comprometer qualquer sistema. E esses ataques, por definição, usam técnicas avançadas para explorar esses erros.
A única proteção real de um APT é, portanto, saber que eles existem e entender como reconhecer os sinais de uma ocorrência.
